WannaCry 2 – Die Ransomware: Windows 7 am häufigsten befallen, nicht XP

Fortsetzung von WannaCry – Die Ransomware – Eine Rückblende

Die Aufarbeitung der weltweiten WannaCry Angriffe geht weiter. Experten aller namhaften IT-Sicherheitsunternehmen analysieren alles – Verbreitungsart, Code und am häufigsten betroffene Systeme und vieles mehr. Bisher war die eindeutig Meinung, dass alte Windows Betriebssysteme am anfälligsten gegenüber der Malware waren und sie entsprechend auch verbreiteten. Allerdings schob man dabei die Hauptschuld der veralteten Windows XP Software in die Schuhe. Wie es sich herausstellt, war das eine völlig falsche Annahme.

Das hat verschiedene Gründe: Windows XP kam 2001 auf dem Markt und gehört eigentlich ins IT-Antiquariat. Allerdings, wie mit vielen Antiquitäten, funktionieren tun sie trotzdem noch recht gut. Das Problem bei XP ist also nicht die eigentliche Software, sondern die Updates. Microsoft erstellt seit langem keine Sicherheitsupdates mehr für XP. Und dennoch veröffentlichte Microsoft am 12. Mai nach den ersten WannaCry Attacken selbst hierfür ein kostenloses Notfall-Sicherheitspatch und sogar auch für noch ältere Versionen – übrigens das erste Mal in drei Jahren. Vermutlich verleitete diese außergewöhnliche Maßnahme auch dazu, XP voreilig als Hauptverbreiter abzustempeln. Vielleicht lag es aber auch mit an der Meldung, dass das britische Gesundheitswesen praktisch zusammengebrochen sei.

IT Forscher konnten aber analysieren, dass der WannaCry-Angriff überwiegend Windows 7 Betriebssysteme betraf. Laut Kaspersky Lab wurden über 97 % der Ransomware-Infektionen auf Win7 Betriebssystemen festgestellt. Der Großteil der restlichen 3 % der Infektionen entfielen auf Windows 10. Der Anteil der Windows 8, 8.1, Vista, XP Infektionen waren laut Kaspersky Labs Analyseergebnisse überhaupt nicht der Rede wert.

Windows 7 wurde 2009 eingeführt und wird noch heute in vielen großen Unternehmen verwendet laut Kasperskys Analysen. Windows 7 ist erstaunlicherweise immer noch das am meisten eingesetzte Betriebssystem von Microsoft, die 64-Bit-Version dabei die meistverwendete. Und der Wurm funktioniert wirklich ziemlich unproblematisch auf Windows 7. Mehr noch, die Ransomware konnte sich auf Windows 7 wunderbar verbreiten. XP und die anderen älteren Versionen dagegen nicht. Sie stürzten ab, bevor sie sich in irgendeiner Weise an der Verbreitung des Wurms beteiligen konnten. Das war dann auch der wirkliche Grund hinter dem Zusammenbruch der Betriebssysteme des National Health Service in Großbritannien.

Für Windows 7 veröffentlichte Microsoft das Sicherheitspatch MS17-010 – was aber nur effektiv wirken kann, wenn es auch aufgespielt wird. Denn WannaCry kam mit der entsprechenden Software, die mithilfe eines infizierten Systems, andere aufspüren konnte, die die gleiche Sicherheitslücke hatten. Daher verbreitete sich die Malware so rasant zunächst von ein paar wenigen identifizierten Maschinen aus – und nicht wie angenommen durch einen großen Phishingangriff. Allerdings ist bis dato die tatsächlich auslösende Verbreitungsweise noch nicht bekannt.

Ein weiterer Grund für die Ausbreitung über Win7-Systeme war, dass viele Nutzer nicht wussten, dass die kostenlosen Sicherheitsprogramme Windows Defender und Microsoft Security Essentials unterschiedliche Aufgaben haben. Windows Defender schützt ausschließlich gegen Spionagesoftware, während MSE gegen alle anderen Malwarearten wirkungsvoll schützt bzw. schützen soll.

Ein bisschen was darüber, wie WannaCrypt vorgeht

Ausgehend von dem gestohlenen NSA Exploit genannt EternalBlue entwickelte sich WannaCry. Die Macher hinter dem üblen Wurm packten die Ransomware auf das Exploit und ließen es auf die Welt los. Im Rucksack befand sich u. A. auch eine Hintertür namens Doublepulsar – ebenfalls von NSA gestohlen. Mit Doublepulsar kann das System kontrolliert werden und kommuniziert über das Tor Netzwerk. Die Malware fügt sich außerdem in die Windows Registry ein. Es kann sich dann noch andere Softwarepakete abholen und verhindert die Funktion von Reparaturprogrammen. Der bösartige Code verschlüsselt letztendlich viele auf dem System abgelegte Dokumente, auch solche in externen Speichern. Es kann sogar die Anwendersprache erkennen und sich entsprechend anpassen. Dies sind nur einige seiner Eigenschaften. Es ist ja durchaus nachvollziehbar, dass sie noch viel mehr kann, angesichts der Tatsache, dass die NSA ziemlich viele nützliche Werkzeuge hortete.

Microsoft Kundensupport für XP

Auf dem offiziellen Microsoft TechNet Webseite hieß es:

„Darüber hinaus unternehmen wir den ungewöhnlichen Schritt, ein Sicherheitsupdate für alle Kunden bereitzustellen, um Windows-Plattformen zu schützen, die rein in benutzerdefinierter Unterstützung laufen, dazu gehören auch Windows XP, Windows 8 und Windows Server 2003.“

Bereitstellen heißt, dass ein Patch für jede der veralteten Versionen im Microsoft Update Katalog zum Download bereitgestellt wurde. Jeder Anwender musste das Patch also selbst herunterladen und sein veraltetes Betriebssystem so schnell wie möglich aktualisieren. Von offizieller Microsoft-Seite hieß es dazu:

„Diese Entscheidung wurde auf Basis einer Einschätzung dieser Situation getroffen, mit dem Grundsatz, das Ökosystem unserer Kunden umfassend zu schützen“.

Phillip Misner, Sicherheits-Hauptgruppenleiter des  Microsoft Security Response Centers schrieb in einem Update Ende Mai:

„Wir haben heute ein Update für das Microsoft Malicious Software Removal Tool (MSRT) veröffentlicht, das WannaCrypt Malware erkennt und entfernt. Wenn das Windows Update ausgeführt wird, kann das Tool WannaCrypt sowie andere Malware-Infektionen erkennen und entfernen. Das MSRT-Tool läuft auf allen unterstützten Windowsrechnern, auf denen automatische Updates aktiviert sind, einschließlich solcher, die keine anderen Microsoft-Sicherheitsprodukte ausführen. Ein manuelles Herunterladen ist ebenfalls möglich.“

Danach wurde eine Liste von verschiedenen weiterführenden Links zu Informationen rund um die Malware und den technischen Support aufgeführt.

Im dritten Teil: WannaCry auf medizinischen Geräten. In Kürze hier zu lesen.

Artikel von bbc.com, 22.05.2017: Windows 7 hardest hit by WannaCry worm
Artikel von computerworld.com, 21.05.2017: Windows Defender does not defend Windows 7 against WannaCry
Artikel von arstechnica.com, 20.05.2017: Windows 7, not XP, was the reason last week’s WCry worm spread so widely
Artikel von v3.co.uk, Mai 2017: Windows XP vulnerability didn’t help spread WannaCry
Artikel von krebsonsecurity.com, 13.05.2017: Microsoft Issues WanaCrypt Patch for Windows 8, XP
Artikel von bleepingcomputer.com, 13.05.2017: Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r

Urheberrecht des Beitragsbildes: © 123RF.com